OpenVPN配置文件详解

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98

#申明本机使用的IP地址，也可以不说明  
;local a.b.c.d  
#申明使用的端口，默认1194  
port 1194  
#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议  
;proto tcp  
proto udp  
#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。  
#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备  
dev tap  
;dev tun  
#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法  
ca ca.crt  
#Server使用的证书文件  
cert server.crt  
#Server使用的证书对应的key，注意文件的权限，防止被盗  
key server.key # This file should be kept secret  
#CRL文件的申明，被吊销的证书链，这些证书将无法登录  
crl-verify vpncrl.pem  
#上面提到的生成的Diffie-Hellman文件  
dh dh1024.pem  
#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由  
#这条命令等效于：  
# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入  
# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client  
#  
# if dev tun: #如果使用tun设备，等效于以下配置  
# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址  
# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址  
# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2  
# if client-to-client: #如果使用client-to-client这个选项  
# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1  
# else  
# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1  
#  
# if dev tap: #如果使用tap设备，则等效于以下命令  
# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址  
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码  
# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机  
#  
server 10.8.0.0 255.255.255.0 #等效于以上命令  
#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，  
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址  
ifconfig-pool-persist ipp.txt  
#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用  
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100  
#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用  
;push “route 192.168.10.0 255.255.255.0″  
;push “route 192.168.20.0 255.255.255.0″  
#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除  
;route 10.9.0.0 255.255.255.252  
#Run script or shell command cmd to validate client  
#virtual addresses or routes. 具体查看manual  
;learn-address ./script  
#其他的一些需要PUSH给Client的选项  
#  
#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走  
;push “redirect-gateway”  
#DHCP的一些选项，具体查看Manual  
;push “dhcp-option DNS 10.8.0.1″  
;push “dhcp-option WINS 10.8.0.1″  
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，  
#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率  
client-to-client  
#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA  
#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN  
;duplicate-cn  
#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，  
#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，  
#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，  
#认为连接丢失，并重新启动VPN，重新连接  
#（对于mode server模式下的openvpn不会重新连接）。  
keepalive 10 120  
#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，  
#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1  
tls-auth ta.key 0 # This file is secret  
#对数据进行压缩，注意Server和Client一致  
comp-lzo  
#定义最大连接数  
;max-clients 100  
#定义运行openvpn的用户  
user nobody  
group nobody  
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys  
persist-key  
#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，  
#否则网络连接会先linkdown然后linkup  
persist-tun  
#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作  
status openvpn-status.log  
#记录日志，每次重新启动openvpn后删除原有的log信息  
log /var/log/openvpn.log  
#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后  
;log-append openvpn.log  
#相当于debug level，具体查看manual  
verb 3

1
2
3
4
5
6
7
8
9

cd /etc/openvpn  
cp easy-rsa/keys/ca.crt .  
cp easy-rsa/keys/server.crt .  
cp easy-rsa/keys/server.key .  
cp easy-rsa/keys/dh1024.pem .  
cp easy-rsa/keys/ta.key .  
cp easy-rsa/keys/vpncrl.pem .

1
2
3
4

chkconfig –add openvpn  
chkconfig openvpn on

1
2
3

/etc/init.d/openvpn start

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62

# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”  
client  
#指定接口的类型，严格和Server端一致  
dev tap  
;dev tun  
# Windows needs the TAP-Win32 adapter name  
# from the Network Connections panel  
# if you have more than one. On XP SP2,  
# you may need to disable the firewall  
# for the TAP adapter.  
;dev-node MyTap  
# 使用的协议，与Server严格一致  
;proto tcp  
proto udp  
#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字  
remote 61.1.1.2 1194  
;remote my-server-2 1194  
# 随机选择一个Server连接，否则按照顺序从上到下依次连接  
;remote-random  
# 始终重新解析Server的IP地址（如果remote后面跟的是域名），  
# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址  
# 这样无需人为重新启动，即可重新接入VPN  
resolv-retry infinite  
# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要  
nobind  
# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作  
user nobody  
group nobody  
#在Client端增加路由，使得所有访问内网的流量都经过VPN出去  
#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是  
# push “route 192.168.0.0 255.255.255.0″  
route 192.168.0.0 255.255.0.0  
# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备  
persist-key  
persist-tun  
# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面  
# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]  
# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual  
;http-proxy-retry # retry on connection failures  
;http-proxy [proxy server] [proxy port #]  
# 对于无线设备使用VPN的配置，看看就明白了  
# Wireless networks often produce a lot  
# of duplicate packets. Set this flag  
# to silence duplicate packet warnings.  
;mute-replay-warnings  
# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件  
ca ca.crt  
# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。  
cert elm.crt  
key elm.key  
# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项  
# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server  
# 因为他们的CA里没有这个扩展  
ns-cert-type server  
# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1  
tls-auth ta.key 1  
# 压缩选项，和Server严格一致  
comp-lzo  
# Set log file verbosity.  
verb 4